当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121387

漏洞标题:盛大某接口撞库泄露用户登录凭据(有批量账号证明)

相关厂商:盛大在线

漏洞作者: 小龙

提交时间:2015-06-18 15:59

修复时间:2015-08-02 16:20

公开时间:2015-08-02 16:20

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-18: 厂商已经确认,细节仅向厂商公开
2015-06-28: 细节向核心白帽子及相关领域专家公开
2015-07-08: 细节向普通白帽子公开
2015-07-18: 细节向实习白帽子公开
2015-08-02: 细节向公众公开

简要描述:

撞库扫号攻击已经是Top 10 Security Risks for 2014之一.撞库以大量的用户数据为基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。2011年,互联网泄密事件引爆了整个信息安全界,导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括:天涯:31,758,468条,CSDN:6,428,559条,微博:4,442,915条,人人网:4,445,047条,猫扑:2,644,726条,178:9,072,819条,嘟嘟牛:13,891,418条,7K7K:18,282,404条,共1.2亿条。不管你的网站密码保护的多好,但是面对已经泄露的账号密码,撞库扫号防御还是一个相当重要的环节。

详细说明:

盛大.jpg

漏洞证明:

测试登录的url:

http://v.sdo.com/


100	189837992	123123123	200	false	false	2935


416	gggxin	xinghong	200	false	false	2927


1853	zxczxczxc	zxczxczxc	200	false	false	2688


6601	skylee72326	lee72326	200	false	false	3241


7831	newtangkai	tangkai3	200	false	false	3234


7886	hrq4399	qq000000	200	false	false	3225


8964	z654856332	12369874	200	false	false	2937


11074	yingame	yingcxgame	200	false	false	2696


11712	gpgpgpgp1	1234554321	200	false	false	3233


17549	Q123456789Q	123456789	200	false	false	3233


18428	dingdangala	19790711	200	false	false	2710


18580	artherkoe	yh580220	200	false	false	3236


11.png


22.png


33.png

修复方案:

1:加个验证码

版权声明:转载请注明来源 小龙@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-18 16:18

厂商回复:

谢谢报告,这个不是盛大通行证!!!

最新状态:

暂无